Русский

Как получить информацию об импортируемом кластере?

Содержание

Описание проблемы

Получить конфигурацию, необходимую для подключения к импортируемому кластеру, чтобы платформа могла быть авторизована для доступа и управления им. В этом разделе приведены шаги для получения информации об импортируемом кластере.

Предварительные требования

Рабочая среда kubectl. Для публичных облачных кластеров настоятельно рекомендуется использовать CloudShell провайдера. Если CloudShell недоступен, рекомендуется использовать Linux или macOS.
Вы получили файл KubeConfig импортируемого кластера и скопировали его в среду, где установлен kubectl. Чтобы избежать работы в неправильной среде, настоятельно рекомендуется использовать один из следующих безвредных подходов:
- Подход с резервным копированием: Сначала скопируйте существующий kubeconfig в безопасное место: cp "${HOME}/.kube/config" "${HOME}/.kube/config.backup"
- Изолированный подход: Установите переменную окружения KUBECONFIG, указывающую на импортированный kubeconfig: export KUBECONFIG="/path/to/imported/kubeconfig"
- Подход с объединением: Используйте слияние/уплощение kubectl без потери существующих контекстов:
  1. export KUBECONFIG="/path/to/imported/kubeconfig:${HOME}/.kube/config"
  2. kubectl config view --flatten > "${HOME}/.kube/merged.kubeconfig"
  3. export KUBECONFIG="${HOME}/.kube/merged.kubeconfig"

Получение информации о кластере

Получение токена кластера

Выполните следующие команды:

# [Важно] Следующие операции поддерживаются только в bash

# Вручную создайте секрет, свяжите сервисный аккаунт и сгенерируйте токен без срока действия
kubectl get ns cpaas-system > /dev/null 2>&1 || kubectl create namespace cpaas-system
kubectl create serviceaccount k8sadmin -n cpaas-system
kubectl create clusterrolebinding k8sadmin --clusterrole=cluster-admin --serviceaccount=cpaas-system:k8sadmin

cat | kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: k8sadmin
  namespace: cpaas-system
  annotations:
    kubernetes.io/service-account.name: "k8sadmin"
type: kubernetes.io/service-account-token
EOF

kubectl -n cpaas-system describe secret \
    $(kubectl -n cpaas-system get secret | (grep k8sadmin || echo "$_") | awk '{print $1}') \
    | grep -F 'token:' | awk '{print $2}'

WARNING

Эта процедура создаёт учетные данные cluster-admin, предназначенные для токена без срока действия.

По возможности используйте RBAC с минимально необходимыми правами, ограниченными нужными ресурсами.
Храните токен в безопасности; выполняйте ротацию/отзыв при ненадобности.
Ограничьте круг лиц, имеющих доступ к объектам Secret в cpaas-system.

Пример токена, полученного на предыдущем шаге, показан ниже.
Проверьте срок действия токена.

Используйте любой инструмент, поддерживающий разбор JWT токенов, чтобы проанализировать токен и подтвердить время его истечения. Если в разобранном результате есть поле истечения срока действия (ключ, содержащий "exp", как показано ниже), платформа не сможет управлять импортируемым кластером после этого времени. В этом случае остановитесь и обратитесь в техническую поддержку.

TIP

Время истечения записано как "exp": 1684486916, в исходной полезной нагрузке JWT. Значение — это UNIX timestamp, который можно преобразовать в UTC время.

Очистка (отзыв доступа) после завершения:

kubectl delete clusterrolebinding k8sadmin
kubectl -n cpaas-system delete secret k8sadmin
kubectl -n cpaas-system delete serviceaccount k8sadmin

Получение адреса API сервера импортируемого кластера и сертификата CA

TIP

Если вы уже получили адрес API сервера и сертификат CA с помощью функции платформы Parse KubeConfig File на странице импортируемого кластера, пропустите этот шаг.

Выполните следующие команды:

# Просмотр адресов API сервера импортируемого кластера. Адресов может быть несколько; выберите подходящий для вашей среды.
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw -ojsonpath='{$.clusters..cluster.server}'
addr_apiserver='<Выбранный адрес API сервера>'

# Получение сертификата CA для указанного выше API сервера
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw \
    -ojsonpath="{$.clusters[?(@.cluster.server == '${addr_apiserver}')].cluster.certificate-authority-data}" \
    | { base64 -d 2>/dev/null || base64 -D; }

Просмотреть полную документацию в формате PDF

Как получить информацию об импортируемом кластере?

Содержание

Описание проблемы

Предварительные требования

Рабочая среда kubectl. Для публичных облачных кластеров настоятельно рекомендуется использовать CloudShell провайдера. Если CloudShell недоступен, рекомендуется использовать Linux или macOS.
Вы получили файл KubeConfig импортируемого кластера и скопировали его в среду, где установлен kubectl. Чтобы избежать работы в неправильной среде, настоятельно рекомендуется использовать один из следующих безвредных подходов:
- Подход с резервным копированием: Сначала скопируйте существующий kubeconfig в безопасное место: cp "${HOME}/.kube/config" "${HOME}/.kube/config.backup"
- Изолированный подход: Установите переменную окружения KUBECONFIG, указывающую на импортированный kubeconfig: export KUBECONFIG="/path/to/imported/kubeconfig"
- Подход с объединением: Используйте слияние/уплощение kubectl без потери существующих контекстов:
  1. export KUBECONFIG="/path/to/imported/kubeconfig:${HOME}/.kube/config"
  2. kubectl config view --flatten > "${HOME}/.kube/merged.kubeconfig"
  3. export KUBECONFIG="${HOME}/.kube/merged.kubeconfig"

Получение информации о кластере

Получение токена кластера

Выполните следующие команды:

# [Важно] Следующие операции поддерживаются только в bash

# Вручную создайте секрет, свяжите сервисный аккаунт и сгенерируйте токен без срока действия
kubectl get ns cpaas-system > /dev/null 2>&1 || kubectl create namespace cpaas-system
kubectl create serviceaccount k8sadmin -n cpaas-system
kubectl create clusterrolebinding k8sadmin --clusterrole=cluster-admin --serviceaccount=cpaas-system:k8sadmin

cat | kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: k8sadmin
  namespace: cpaas-system
  annotations:
    kubernetes.io/service-account.name: "k8sadmin"
type: kubernetes.io/service-account-token
EOF

kubectl -n cpaas-system describe secret \
    $(kubectl -n cpaas-system get secret | (grep k8sadmin || echo "$_") | awk '{print $1}') \
    | grep -F 'token:' | awk '{print $2}'

WARNING

Эта процедура создаёт учетные данные cluster-admin, предназначенные для токена без срока действия.

По возможности используйте RBAC с минимально необходимыми правами, ограниченными нужными ресурсами.
Храните токен в безопасности; выполняйте ротацию/отзыв при ненадобности.
Ограничьте круг лиц, имеющих доступ к объектам Secret в cpaas-system.

Пример токена, полученного на предыдущем шаге, показан ниже.
Проверьте срок действия токена.

Используйте любой инструмент, поддерживающий разбор JWT токенов, чтобы проанализировать токен и подтвердить время его истечения. Если в разобранном результате есть поле истечения срока действия (ключ, содержащий "exp", как показано ниже), платформа не сможет управлять импортируемым кластером после этого времени. В этом случае остановитесь и обратитесь в техническую поддержку.

TIP

Очистка (отзыв доступа) после завершения:

kubectl delete clusterrolebinding k8sadmin
kubectl -n cpaas-system delete secret k8sadmin
kubectl -n cpaas-system delete serviceaccount k8sadmin

Получение адреса API сервера импортируемого кластера и сертификата CA

TIP

Выполните следующие команды:

# Просмотр адресов API сервера импортируемого кластера. Адресов может быть несколько; выберите подходящий для вашей среды.
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw -ojsonpath='{$.clusters..cluster.server}'
addr_apiserver='<Выбранный адрес API сервера>'

# Получение сертификата CA для указанного выше API сервера
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw \
    -ojsonpath="{$.clusters[?(@.cluster.server == '${addr_apiserver}')].cluster.certificate-authority-data}" \
    | { base64 -d 2>/dev/null || base64 -D; }

ACP CLI (ac)

Управление узлами

Управляемые кластеры

Импорт кластеров

Инициализация кластера в публичном облаке

Инициализация сети

Инициализация хранилища

Как сделать

Как сделать

Управление резервным копированием

Управление восстановлением

Архитектура

Основные понятия

Руководства

Как сделать

ALB

Устранение неполадок

Основные понятия

Руководства

Как сделать

Устранение неполадок

Установка

Основные понятия

Руководства

Как сделать

Восстановление после сбоев

Основные понятия

Руководства

Как сделать

Руководства

Как сделать

Соответствие требованиям

Как сделать

API Refiner

Пользователь

Руководства

Группа

Руководства

Роль

Руководства

IDP

Руководства

Устранение неполадок

Политика пользователя

Руководства

Обзор

Образы

Руководства

Как сделать

Виртуальная машина

Руководства

Как сделать

Устранение неполадок

Сеть

Руководства

Как сделать

Хранение данных

Руководства

Резервное копирование и восстановление

Руководства

Основные понятия

Пространства имён

Создание приложений

Эксплуатация и сопровождение приложений

Развертывание приложений

KEDA (Kubernetes Event-driven Autoscaling)

Как сделать

Рабочие нагрузки

Конфигурации

Наблюдаемость приложения

Как сделать

Как сделать

Установка

Руководство пользователя

Обзор

Установка

Обновление

Руководства

Как сделать

Основные понятия